为 Azure 文件存储上的混合标识启用 Microsoft Entra Kerberos 身份验证

若要使用 Azure 门户启用 Microsoft Entra Kerberos 身份验证，请执行以下步骤。

1. 登录到 Azure 门户并选择要为其启用 Microsoft Entra Kerberos 身份验证的存储帐户。

2. 在“数据存储”下，选择“文件共享”。

3. 在基于标识的访问旁边，选择配置状态，例如“未配置”。

   

4. 在 Microsoft Entra Kerberos 下，选择 设置。

5. 选中 Microsoft Entra Kerberos 复选框。

   

6. Optional： 如果要对混合身份进行身份验证并通过 Windows 文件资源管理器配置目录和文件级权限，请为本地 AD 指定域名和域 GUID。 可以从域管理员处获取此信息，也可以通过从已加入本地 AD 的客户端运行以下 Active Directory PowerShell cmdlet 来获取此信息：Get-ADDomain。 域名在输出中显示为 DNSRoot ，域 GUID 在输出中显示为 ObjectGUID。 如果想要使用 icacls 配置目录和文件级权限，可以跳过此步骤。 但是，如果想要使用 icacls，客户端需要与本地 AD 建立不受限制的网络连接。

7. 选择“保存”。

若要使用 Azure PowerShell 启用 Microsoft Entra Kerberos，请运行以下命令。 请务必将占位符值（包括括号）替换为你自己的值。

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true

可选项： 如果您要为混合标识进行身份验证，并希望通过文件资源管理器（File Explorer）配置目录和文件级权限，还需要为本地 AD 指定域名和域 GUID。 如果想要使用 icacls 配置目录和文件级权限，可以跳过此步骤。 但是，如果想要使用 icacls，客户端需要与本地 AD 建立不受限制的网络连接。

可以从域管理员处获取此信息，也可以通过从已加入本地 AD 的客户端运行以下 Active Directory PowerShell cmdlet 来获取此信息：

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

若要为本地 AD 指定域名和域 GUID，请运行以下 Azure PowerShell 命令。 请务必将占位符值（包括括号）替换为你自己的值。

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $true -ActiveDirectoryDomainName $domainName -ActiveDirectoryDomainGuid $domainGuid

若要使用 Azure CLI 启用 Microsoft Entra Kerberos，请运行以下命令。 请务必将占位符值（包括括号）替换为你自己的值。

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb true

可选项： 如果您要为混合标识进行身份验证，并希望通过文件资源管理器（File Explorer）配置目录和文件级权限，还需要为本地 AD 指定域名和域 GUID。 如果想要使用 icacls 配置目录和文件级权限，可以跳过此步骤。 但是，如果想要使用 icacls，客户端需要与本地 AD 建立不受限制的网络连接。

可以从域管理员处获取此信息，也可以通过从已加入本地 AD 的客户端运行以下 Active Directory PowerShell cmdlet 来获取此信息：

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot

若要为本地 Active Directory 指定域名和域 GUID，请运行以下命令。 请务必将占位符值（包括括号）替换为你自己的值。

az storage account update --name <storageAccountName> --resource-group <resourceGroupName> --enable-files-aadkerb true --domain-name <domainName> --domain-guid <domainGuid>

配置此 Intune 策略 CSP，并将其应用于客户端：Kerberos/CloudKerberosTicketRetrievalEnabled，设置为 1

将客户端上的此组策略配置为“已启用”： Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

在较旧版本的 Windows 上，此设置显示为： Administrative Templates\System\Kerberos\Allow retrieving the cloud Kerberos ticket during the logon

启用此设置后，客户端可在用户登录时检索基于云的 Kerberos 票证授予票证 (TGT)。

通过从提升的命令提示符运行以下命令，在客户端上设置以下注册表值：

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1

配置此 Intune 策略 CSP 并将其应用于客户端： Kerberos/HostToRealm

在客户端上配置此组策略： Administrative Templates\System\Kerberos\Define host name-to-Kerberos realm mappings

• 将策略设置为 Enabled.
• 选择按钮 Show... 以定义主机名到领域映射的列表。 对于每个配置了 AD DS 的存储帐户，请添加一个条目，其中：
  • Value 是已启用 AD DS 的存储帐户的主机名，例如 <your storage account name>.file.core.chinacloudapi.cn
  • Value name 是 AD DS 领域名

在客户端上运行以下 ksetup Windows 命令：

ksetup /addhosttorealmmap <hostname> <REALMNAME>

例如，如果您的域为 CONTOSO.LOCAL，则运行 ksetup /addhosttorealmmap <your storage account name>.file.core.chinacloudapi.cn CONTOSO.LOCAL

配置此 Intune 策略 CSP 并将其应用于客户端： Kerberos/CloudKerberosTicketRetrievalEnabled，设置为 0

将客户端上的此组策略设置为 “已禁用” ： Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

通过从提升的命令提示符运行以下命令，在客户端上设置以下注册表值：

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0

配置此 Intune 策略 CSP 并将其应用于客户端： Kerberos/HostToRealm

在客户端上配置此组策略： Administrative Templates\System\Kerberos\Define host name-to-Kerberos realm mappings

在客户端上运行以下 ksetup Windows 命令：

ksetup /delhosttorealmmap <hostname> <realmname>

例如，如果领域为 CONTOSO.LOCAL，则运行 ksetup /delhosttorealmmap <your storage account name>.file.core.chinacloudapi.cn CONTOSO.LOCAL。

通过检查注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm，您可以查看当前主机名与 Kerberos 领域的映射列表。

若要使用 Azure 门户在存储帐户中禁用 Microsoft Entra Kerberos 身份验证，请执行以下步骤。

1. 登录到 Azure 门户并选择要为其禁用 Microsoft Entra Kerberos 身份验证的存储帐户。
2. 在“数据存储”下，选择“文件共享”。
3. 在基于标识的访问旁边，查看配置状态。
4. 在 Microsoft Entra Kerberos 下，选择“配置”。
5. 取消选中 Microsoft Entra Kerberos 复选框。
6. 选择“保存”。

若要使用 Azure PowerShell 在存储帐户中禁用 Microsoft Entra Kerberos 身份验证，请运行以下命令。 请务必将占位符值（包括括号）替换为你自己的值。

Set-AzStorageAccount -ResourceGroupName <resourceGroupName> -StorageAccountName <storageAccountName> -EnableAzureActiveDirectoryKerberosForFile $false

若要使用 Azure CLI 在存储帐户中禁用 Microsoft Entra Kerberos 身份验证，请运行以下命令。 请务必将占位符值（包括括号）替换为你自己的值。

az storage account update --name <storageaccountname> --resource-group <resourcegroupname> --enable-files-aadkerb false